黑客盗取超过44万美元的USDC
一名黑客通过让一位钱包拥有者无意中签署恶意的“许可”签名,盗取了超过44万美元的USDC,Scam Sniffer在周一的推文中透露。这起盗窃事件发生在网络钓鱼损失激增的背景下。Scam Sniffer的月度报告显示,11月份有大约777万美元从超过6000名受害者那里被盗,较10月份的总损失增长了137%,尽管受害者人数减少了42%。该公司指出:“
针对大户的攻击加剧,最高损失达到122万美元(许可签名)。尽管攻击次数减少,个人损失却显著增加。
”
基于许可的诈骗手法
基于许可的诈骗手法围绕着欺骗用户签署看似合法的交易,但实际上悄悄地将用户的代币支出权交给攻击者。恶意的去中心化应用(dapps)可能会伪装字段、伪造合约名称,或将签名请求呈现为常规操作。如果用户未能仔细审查细节,签署请求实际上就等于授予攻击者访问用户所有ERC-20代币的权限。一旦权限被授予,诈骗者通常会立即提取资金。
这种方法利用了以太坊的许可功能,该功能旨在通过允许用户将支出权委托给可信应用来简化代币转移。当这些权利被授予攻击者时,便利性就变成了一个漏洞。Twinstake的产品负责人Tara Annison在接受Decrypt采访时表示:“
这种攻击类型特别棘手,因为攻击者可以在一个交易中同时进行许可和代币转移(类似于突袭式的方式),或者他们可以通过许可获得访问权限,然后静待时机转移任何后续添加的资金(只要他们在许可功能元数据中设置了适当的远期访问截止日期)
。”
她补充道:“这些类型诈骗的成功依赖于你签署一些你并不完全理解其后果的东西。关键在于人类的脆弱性,以及利用人们的急切心理。”Annison还指出,这一事件绝非孤立。“有许多高价值和高频率的网络钓鱼诈骗案例,旨在欺骗用户签署他们不完全理解的内容。通常以免费空投、虚假项目着陆页连接钱包或欺诈性安全警告的名义进行。”
钱包提供商的保护措施
钱包提供商正在推出更多保护功能。例如,MetaMask会警告用户如果某个网站看起来可疑,并尝试将交易数据翻译为人类可读的意图。其他钱包也同样突出高风险操作。但诈骗者仍在不断适应。Circuit的创始人兼首席执行官Harry Donnelly在接受Decrypt采访时表示,许可式攻击“相当普遍”,并敦促用户检查发送者地址和合约细节。“
这是判断是否为试图盗取资金的协议的最清晰方式,”他说。“你可以检查金额,通常他们会试图给予无限的批准。
”
Annison强调,保持警惕仍然是用户最强大的防御手段。“保护自己免受许可、approveAll或transferFrom诈骗的最佳方法是确保你知道自己在签署什么。交易中实际会执行什么操作?使用了哪些功能?这些是否与您认为自己在签署的内容相符?”
“许多钱包和dapps已经改进了用户界面,以确保您不会盲目签署某些内容,并且可以看到其结果,以及对高风险功能的警告。然而,用户主动检查他们所签署的内容,而不仅仅是连接钱包并点击签署,这一点非常重要。”
资金恢复的困难
一旦被盗,资金的恢复几乎不可能。Zircuit Finance的联合创始人兼技术负责人Martin Derka在接受Decrypt采访时表示,找回资金的机会“基本为零”。“在网络钓鱼攻击中,你面对的是一个完全旨在窃取你资金的个体。没有谈判,没有联系点,通常也不知道对方是谁,”他说。“这些攻击者玩的是数字游戏,”Derka补充道,“一旦钱没了,就没了。恢复几乎是不可能的。”
